10.2. IdM의 ID 매핑 규칙의 구성 요소

매핑 규칙 구성 요소는 인증서를 하나 이상의 사용자 계정과 연결합니다. 이 규칙은 인증서를 의도된 사용자 계정과 연결하는 LDAP 검색 필터를 정의합니다.

다른 CA(인증 기관)에서 발급한 인증서에는 서로 다른 속성이 있을 수 있으며 다른 도메인에서 사용할 수 있습니다. 따라서 IdM은 매핑 규칙을 무조건 적용되는 것이 아니라 적절한 인증서에만 적용됩니다. 적절한 인증서는 일치하는 규칙을 사용하여 정의됩니다.

매핑 규칙 옵션을 비워 두면 userCertificate 속성에서 DER 인코딩된 바이너리 파일로 인증서가 검색됩니다.

CLI에서 --maprule 옵션을 사용하여 매핑 규칙을 정의합니다.

일치하는 규칙 구성 요소는 매핑 규칙을 적용할 인증서를 선택합니다. 기본 일치 규칙은 디지털 서명 키 사용량 및 clientAuth 확장 키 사용과 일치하는 인증서와 일치합니다.

일치의 경우 DER 인코딩된 ASN.1 에 저장된 제목 이름은 RFC 4514 에 따라 문자열로 변환됩니다. 즉, 가장 구체적인 이름 구성 요소가 먼저 온다는 의미입니다.

--matchrule 옵션을 사용하여 CLI에 일치하는 규칙을 정의합니다.

예를 들어, < ISSUER>C=US, O=EXAMPLE.COM,CN=Global CA1 과 일치하는 ipa certmaprule-mod 는 issuer=C=US,O=EXAMPLE.COM,CN=Global CA1 이 있는 인증서에서 작동하지 않습니다.

일치 규칙에 대한 올바른 구문은 < ISSUER>CN=Global CA1,O=EXAMPLE.COM,C=US 여야 합니다. 예를 들어 C 와 O 앞에는 가장 구체적인 구성 요소 CN 및 O가 있습니다.

ipa certmaprule-mod "Certificate mapping match" --matchrule '<ISSUER>CN=Global CA1,O=EXAMPLE.COM,C=US'

# ipa certmaprule-mod "Certificate mapping match" --matchrule '<ISSUER>CN=Global CA1,O=EXAMPLE.COM,C=US'
----------------------------------------------------------------------
Modified Certificate Identity Mapping Rule "Certificate mapping match"
----------------------------------------------------------------------
  Rule name: Certificate mapping match
  Mapping rule: (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})
  Matching rule: <ISSUER>CN=Global CA1,O=EXAMPLE.COM,C=US
  Priority: 1
  Enabled: True

도메인 목록은 ID 매핑 규칙을 처리할 때 IdM이 사용자를 검색할 ID 도메인을 지정합니다. 옵션을 지정하지 않은 상태로 두면 IdM은 IdM 클라이언트가 속한 로컬 도메인에서만 사용자를 검색합니다.

--domain 옵션을 사용하여 CLI에 도메인을 정의합니다.

여러 규칙이 인증서에 적용 가능한 경우 우선순위가 가장 높은 규칙이 우선합니다. 다른 모든 규칙은 무시됩니다.

--priority 옵션을 사용하여 CLI에서 매핑 규칙 우선 순위를 정의합니다.